公開された「内部統制事例集」、活用のポイントはこれ【IFRS】新しい内部統制報告制度を理解する【3】

基準、運用の「簡素化・明確化」を目的に改訂された「財務報告に係る内部統制報告制度」。今回の改訂では基準と同時にこれまで効率的に内部統制を構築してきた企業の事例集が公表された。企業はどう活用できるのか? 運用の観点から解説する。

2011年06月29日 08時00分 公開
[中原國尋,レキシコム]

 これまで、改訂内部統制基準の解説し、制度の変更が企業に与える影響について検討した(第1回記事「『簡素化・明確化』内部統制制度はどう変わる?」、第2回記事「改訂内部統制の影響を受ける企業、受けない企業」)。今回の改訂では、事例集を公表していることにも特徴がある。その事例集の公表目的は次のように説明されている。

 「企業等においては、制度導入後2年間にわたり、基準・実施基準等に基づいてさまざまな工夫を行いながら内部統制の整備・運用が行われてきた。その中で、本事例集は、事業規模が小規模で、比較的簡素な構造を有している組織等において、資源の制約等の下、さまざまな工夫を行い、内部統制の有効性を保ちつつも、効率的に内部統制の評価等が行われていた事例を企業、監査人等から収集し、実務の参考に供すべく取りまとめたものである」

 事業規模が小規模で比較的簡素な構造の組織と記載されているものの、制度を満たす際の考え方の参考になるという観点では、小規模でない企業や簡素とはいえない組織構造の企業であっても十分に参考になり得ると考える。

 なお、これらの事例は、企業において業務プロセスが変更になる場合や、評価方法等を検討する場合に有効であると考えられるが、いずれにしても企業ごとの実態を踏まえて判断することが求められるため、画一的に適用可能であるとはいえず、監査人との協議および合意が必要となることに留意が必要である。

事例集の概要

 事例集では、全社的な内部統制、決算・財務報告に係る内部統制、業務処理統制に係る内部統制、ITを利用した内部統制、評価範囲の制約、内部統制の記録および保存という6つのカテゴリに分けて整理されている。それぞれのカテゴリごとに、実務上、疑問点を感じることが多い項目が抽出され、個別に事例が紹介されている構成になっている。

 各事例では、事例の概要と具体的な事例が挙げられており、当該事例における根拠と考えられる実施基準等が参考情報として記載されている。そのため読者からすれば、事例がどのような考え方に基づいて検討されたものであるのかを明確にすることが可能になるという点で、自社の状況にも適用しやすくなっている。

 本稿では、事例集におけるカテゴリではなく、挙げられている事例について、内部統制報告制度を運用する観点から解説する。

記載されている事例の概要

(1)評価範囲・評価対象の決定に関する事項

 評価対象とすべき業務プロセスの範囲や僅少な業務プロセスの範囲についての考え方が明確にされた。業務プロセスの範囲については、原則的な考え方に変更はないが、業務プロセスの識別に関し基本的な方針として次の三点が挙げられている。

(a)証憑およびITシステムの可能な限りの共通化

(b)各業務プロセスの簡素化

(c)プロセス・オーナー(各業務プロセスの責任者)の指名

 業務が共通になるわけではないものの、証憑等を共通化することにより、統制すべきポイントの均質化を図ることが可能になる。財務報告に係る内部統制として必要なポイントが共通化されることで、業務プロセスが異なったとしても評価すべき内部統制を共通化可能とする余地が生まれる。さらに業務プロセスを簡素化することで評価を効率化することが可能になり、また各業務プロセスの責任者を指名することによって責任の所在が明確になることにより評価の効率化が期待される(事例3−1)。

 決算・財務報告プロセスにおいても、親会社による子会社へのモニタリングのレベル感、親会社により中央集権的な業務設計になっていることによる高い統制レベルなどにより、財務報告に係る内部統制において親会社の重要性が高い場合に、運用評価を親会社に対してのみ実施することが事例として挙げられている。これは、全ての子会社に対して共通の方針や手続きが確立されていることが前提となるが、その場合には子会社における決算・財務報告プロセスの評価は、整備状況の評価のみで足りるとされている(事例2−2)。

 また、IT統制についても同様に、仮に支社(子会社)において独自のシステムを採用している場合であっても、親会社に内部統制のデザインが集中している場合には、親会社においてのみ評価することで足りる事例が紹介されている。ITに係る全般統制を中心に、重要なIT統制について本社に権限を集中させることによって、ITに係る全般統制のほか、業務処理統制の整備・運用状況の評価および監査を本社集中で実施することが可能となった事例である(事例4−1)。

 また業務プロセスに係る内部統制については、重要性に応じて評価対象となる業務プロセスを決定することになるが、評価対象とする業務プロセスのうち、重要な業務プロセスとそれ以外の業務プロセスに分けて、それぞれで運用評価の実施をローテーションする方法が例示されている。ここで重要な業務プロセスの主要な事業拠点の連結売上高に占める割合は8割程度とされていることから、実施基準における評価範囲の考え方に従って検討されており、勘定科目に与える重要性を考慮したうえで、運用評価のレベル感を調整しているものと解される(事例3−4)。

(2) 評価手続きに関する事項

 評価を実施するに当たって、評価すべき内部統制の明確化について事例が紹介されている。主に、RCM(リスクコントロールマトリクス)の取り扱いに関するものである。特に、決算・財務報告プロセスおよびITを利用した内部統制に対しては、RCMに代えてチェックリストを用いる方法が紹介されている。

 決算・財務報告プロセスについては、いわゆる3点セットを作成するのではなく、チェックリストを作成し、活用する事例が挙げられている。ここではチェックリストの例が決算業務の一部について示されているが、決算に関する一連の業務をチェックリスト化することが想定されていると考えられる。業務フローや業務記述書を作成しないことが前提であるため、チェックリストが実質的にそれらに代わることになる。従って、勘定科目ごとのチェックリストを作成して、それを活用する方法も検討対象になると考えられる(事例2−3)。

 ITを利用した内部統制については、全社的な内部統制およびITに係る全般統制に関してチェックリストの活用が挙げられている。この場合、利用しているITが市販のパッケージソフトウェアをカスタマイズなしで利用していることが前提となっているものの、ITに係る全般統制の他、全社的内部統制のうちITに関する部分も含めてチェックリストが例示されている。実際に利用するチェックリストは、実際の統制の状況を把握・分析したうえで作成することが望まれると考えられる。しかし、事例ではより簡素に、新たなリスクの洗い出し作業等を行うことなく、チェックリストを作成するとされている(事例4−2)。

(3) 評価方法に関する事項

 識別された内部統制を評価する方法についても事例が示されている。評価を行う方法に加え、時期についても示されている。

 サンプリングの範囲については、例えば多店舗展開しているような場合のサンプリングの範囲に関する事例が紹介されている。全社的な内部統制が有効であり、店舗間の内部統制のデザインが異ならず、かつ、店舗における内部統制の整備状況が有効であるという前提では、運用評価については3年間で全店舗を網羅するようにサンプル対象とする店舗を決定し、また選定された店舗であっても1つの評価項目に対して画一的に25件のサンプルを抽出するのではなく、拠点の規模や、重要な担当者の交代の有無により差を設けることが示されている(事例3−6)。

 サンプリングの方法についても、重要性の判断に応じて無作為抽出による方法を採らず、金額が多額の取引から抽出する事例が示されている。しかしながら監査人は一定のルールに従ったサンプリングが必要であるため、あらかじめ経営者のサンプルを監査人が利用しないことが前提となると考えられる。監査人が経営者のサンプルを用いる場合には、あらかじめ監査人と合意する必要があることは従前と変わらない(事例3−7)。

 内部統制の有効性については期末時点で判断することが求められるが、期中における内部統制の運用状況の評価結果が有効であった業務プロセスについては、担当者への質問等により足りるとされている。一方で期中における内部統制の運用状況の評価の結果、不備が発見された業務プロセスについては期末に近い時点でのサンプル検証が示された。期末日を超えてロールフォワード手続を実施することが必ずしも求められていないことが明確化されたものと考えられる(事例3−9)。

 ITに係る業務処理統制の評価については、過年度に実施したITに係る業務処理統制の評価に関する記録を残し、また当年度にITに係る業務処理統制に関するプログラムや環境設定が変更されていないことを確かめることによって、内部統制上のリスクが小さいことを確かめたうえで、過年度の評価結果を利用できることが改めて示された(事例4−3)。

 このように、公表された「事例集」に記載されている事例は、従来の基準や実施基準、Q&Aなどで示されていたことが多い。そのため、既に示されている事例のような対応を進めてきた企業も多いのではないかと考える。しかしながら、「事例集」としてまとめられたことによって、自社の制度対応の状況と比較することが容易となり、一層の効率化を進める上での重要な検討資料としての位置付けとなるのではないかと考えられる。本稿では全ての事例を紹介することはできないが、制度改訂への対応を進める過程で、自社の内部統制報告制度対応の見直しを行う際に役立てることができれば効果的であると考えられるし、他社の状況の例として、監査人と協議する際にも有効なツールになると思われる。

中原 國尋(なかはら くにひろ)

株式会社レキシコム代表取締役

公認会計士/システム監査技術者、日本公認会計士協会 IT委員会 専門委員

中央大学大学院商学研究科博士前期課程修了。大手監査法人を経て、株式会社レキシコムを設立し、現在に至る。経営者や管理者をはじめとした情報利用者に価値のある情報をいかに提供するのかに焦点を当てながら、公認会計士としての専門的知識や経験を生かし、業務改善コンサルティングや内部統制報告制度対応支援、会計制度への対応を含めた情報システムのサポート業務などを中心に展開している。IFRS、内部統制、情報システムなどをキーワードに、講演・執筆活動の実績多数。


Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia マーケティング新着記事

news066.jpg

トランプ氏勝利で追い風 ところでTwitter買収時のマスク氏の計画はどこへ?――2025年のSNS大予測(X編)
2024年の米大統領選挙は共和党のドナルド・トランプ氏の勝利に終わった。トランプ氏を支...

news043.jpg

AI導入の効果は効率化だけじゃない もう一つの大事な視点とは?
生成AIの導入で期待できる効果は効率化だけではありません。マーケティング革新を実現す...

news132.jpg

ハロウィーンの口コミ数はエイプリルフールやバレンタインを超える マーケ視点で押さえておくべきことは?
ホットリンクは、SNSの投稿データから、ハロウィーンに関する口コミを調査した。